Microsoft: Googles Project Zero veröffentlicht Windows-Sicherheitslücke

Seit über 90 Tagen weiß Microsoft von einer Sicherheitslücke in der Verschlüsselungsbibliothek Symcrypt. Trotzdem wurde die Lücke bisher nicht geschlossen. "Heute ist Tag 91, also ist die Lücke jetzt öffentlich. Ich halte den Schweregrad für relativ niedrig, aber man kann damit relativ einfach eine ganze Windows-Flotte ausschalten. Es lohnt sich also, sich dessen bewusst zu sein", schreibt der Entdecker Tavis Ormandy von Googles Sicherheitsinitiative Project Zero auf Twitter. Nach den Richtlinien des Projekts hat ein Hersteller 90 Tage Zeit, einen Fix bereitzustellen, bevor Informationen zu Sicherheitslücken veröffentlicht werden.

Symcrypt wird von Windows 8 standardmäßig für symmetrische Verschlüsselungsfunktionen verwendet. Seit Oktober 2017 nutzt Windows 10 Symcrypt standardmäßig für alle kryptographischen Funktionen. Mit Hilfe eines präparierten X.509-Zertifikats lässt sich eine endlose Rechenoperation triggern, welche für einen Denial-of-Service-Angriff (DoS) genutzt werden kann.

"Ich habe festgestellt, dass das Einbetten des Zertifikats in eine S/MIME-Nachricht, eine Authenticode-Signatur, eine Schannel-Verbindung usw. jeden Windows-Server (z. B. IPsec [VPN], IIS [nternet Information Services], Exchange usw.) zum Erliegen bringt und (je nach Kontext) das Rebooten der Maschine erfordern kann", schreibt Ormandy in einem Bugreport. Viele Programme, die nicht vertrauenswürdige Inhalte verarbeiten (wie Antivirenprogramme), würden diese Routinen aufrufen - und könnten damit das System zum Stillstand bringen. Neben der Fehlerbeschreibung veröffentlicht Ormandy auch ein Proof-of-Concept-Zertifikat (PoC), mit dem das Problem nachvollzogen werden kann.

Ormandy hatte die Sicherheitslücken bereits im März vor der Open-Source-Veröffentlichung von Symcrypt gemeldet. Der Code der Software steht seit April auf Github. Microsoft will laut Ormandy erst im Juli Patches für die Sicherheitslücken veröffentlichen, da beim Testen Probleme aufgetreten seien.